移动金融APP备案开闸 首批23家机构试点

本篇文章2585字，读完约6分钟

金融业移动金融客户端应用软件备案试点工作拉开帷幕，移动金融应用顶层监管设计也浮出水面。

12月9日，《证券时报》记者独家获悉首批23家试点机构名单，其中银行业金融机构16家(包括5家国有银行、5家股份公司、3家城市商业银行、2家农村商业银行和1家农村信用社)、4家证券基金保险金融机构和3家非银行支付机构。

"填写材料并申请归档."一位参与备案的机构内部人士告诉《证券时报》记者，将引入一家第三方评估公司来发布后续报告，“证明没有披露客户隐私和遵守客户隐私保护条款。”

今年，公安部调查并处理了683个非法收集个人信息的应用。记者了解到，央行此前已向部分金融机构下发了《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(以下简称“237号文件”)。通知显示，央行对移动金融应用的安全监管主要从五个方面进行:加强安全保护、加强个人金融信息保护、提高风险监控能力、完善投诉处理机制、加强行业自律、划定个人金融信息保护四条红线。

苏宁金融研究所研究员孙阳认为，此次试点的推出有望打破此前移动金融应用市场无序竞争、缺乏全面治理的局面。今后，不仅金融业必须拥有相应的许可证，而且在获取用户信息时也必须遵守相应的规范。同时，用户信息的保存、使用和流通必须在监管范围内进行；根据这一规定，对移动金融应用的监管已经转移到深水区，个人信息保护、移动金融应用和金融数据将被纳入后期监管的非现场检查的重要领域。

清晰的归档流程

最近，一些涉及非法收集用户个人信息风险事件的应用引起了广泛关注。

今年9月，工业和信息化部公布了32项申请，如yy、Betta Live、美团外卖和91短期贷款，涉及未经用户同意收集和使用用户个人信息。12月6日，国家网络安全通知中心表示，100个非法应用和他们运营的互联网公司已经被调查和纠正。侵权的主要原因包括没有隐私协议、对收集和使用个人信息的范围描述不清、个人信息的过度收集和不必要的个人信息收集。

12月3日，中国互联网金融协会在北京召开移动金融应用备案管理试点启动会。会议明确指出，各试点机构应在2019年底前完成首批试点申报申请的材料提交和申报工作。

下一步，协会将在全国范围内分批组织推广应用备案，逐步实施风险信息共享、投诉处理机制、行业惯例、黑白名单、自律检查、违规等自律管理。

世卫组织将参与第一批试点项目，引起了外界的广泛关注。据记者了解到的完整名单，23家试点机构包括:16家银行业金融机构(中国工商银行(港股01398)、中国农业银行(港股01288)、中国银行(港股03988)、中国建设银行(港股00939)、交通银行(港股03328)、中信银行(港股0998)、中国民生银行(港股0098)、平安银行、Xi平安银行、 吉林九台农村商业银行、广州农村商业银行、重庆三峡银行、尚辉银行(港股03698)、安徽农村信用社)、4家证券基金保险金融机构(国泰君安(港股02611)证券、中安保险、海通证券(港股06837)、汇天富基金)、3家非银行支付机构

上述知情人士告诉记者，此次试点工作的备案主要有三点:“依托备案管理系统，进行全行数据上传和审核；该记录分为三个部分:基本信息注册、应用信息注册和应用软件上传。系统中的所有项目都需要填写；在试点期间，每个试点单位至少提交一个代表性基金交易或个人信息收集应用程序进行备案。”

同时，根据首次发布、重大变更、一般变更或紧急变更、取消金融应用等不同情况，明确了申报流程。“首次发布(申请备案提交材料)、重大变更(申请变更备案更新材料)，经过受理审查，然后完成备案/更新备案，可以实现公告和上架；对于已经上架的应用，需要进行一般性变更或紧急变更的，可以提供变更备案和更新材料，然后接受审核，最后更新备案公告；取消申请时，需提交取消备案申请材料，接受审核，取消备案，然后公告并删除。”由上述内部人士介绍。

安全条例的四条红线

记者了解到，在中国黄金协会推动的移动金融应用备案试点项目背后，央行“237号文件”明确提出，中国黄金协会需要承担以下三大责任——风险监控(完善风险分担机制，加大联合防控力度)；投诉处理(通过机构验证、现场检查、技术测试、专家评估等进行验证。，并敦促整改)；加强自律管理，要求制定行业惯例，建立健全行业黑名单管理，做好客户端软件实名备案工作，定期向央行报送相关信息。

237号文件显示，央行对移动金融应用的安全进行了监管，主要从五个方面进行监管:加强安全保护、加强个人金融信息保护、提高风险监控能力、完善投诉处理机制、加强行业自律、划定个人金融信息保护四条红线。

首先，在收集和使用个人金融信息时，央行明确表示，金融机构不得以默认、绑定、停止安装和使用等方式强迫用户进行伪装授权，也不得收集与其提供的金融服务无关的个人金融信息。其次，金融机构应采取数据加密、访问控制、安全传输、签名认证等措施。防止个人财务信息在传输、存储和使用过程中被非法窃取、泄露或篡改。第三，信息使用后，所有金融机构应立即删除敏感信息，在客户端软件卸载后不得保留个人金融信息。最后，金融机构不得违反法律法规与用户之间的约定，不得向他人披露、非法出售或非法提供个人金融信息。

“数据使用的边界不仅是中国数字金融发展的问题，也是全世界非常关注的重要问题。相对而言，在发达国家或欧美市场，相关立法和政策将得到完善，尤其是在欧洲。”北京大学数字金融研究中心副主任黄卓分析说:“使用大数据和交易数据作为资产有两个不同的层次。在满足一定授权的基础上，在合理的范围内使用，这是一个级别；交易数据作为一种资产是另一个层面。在第二个层次，需要更严格的标准，这也涉及到数据的所有权，收集是否符合，以及如何分配利益。这是一个全世界都在探索的命题。”

与以往的金融行业标准相比，与“237号文件”同时发布的《移动金融应用软件安全管理规范》删除了应用场景，将人机交互安全改为身份证认证安全，增加了安全功能设计；修订了数据安全要求，对数据采集、数据访问控制、数据传输、数据存储和数据销毁提出了具体的安全要求。

该准则要求不同类型软件的责任。其中，资本交易软件应满足资本交易和信息保护等所有技术和管理安全要求；信息采集软件应主要满足信息保护相关技术和管理安全的要求；信息查询软件应满足客户端软件安全和管理的要求。